בשנת 1906 וילפרדו פארטו, כלכלן וסוציולוג איטלקי בעל רקע בהנדסת רכבות, ביצע מחקר וגילה כי 80% מההון באיטליה נמצא אצל 20% מהאוכלוסיה, לאחר מכן הוא השווה את הנתון הזה למדינות נוספות וגילה כי גם שם היחס הזה דומה.
מאז, מנתחי מערכות נוטים להשתמש בעקרון פארטו כמעט עבור כל דבר – אם הם מאפיינים מערכת כלשהי הם ינסו, ובצדק, להתמקד באותם 20% מהתכונות אשר מסוגלות לספק 80% מהתועלות העסקיות, באופן כזה אכן ניתן לחסוך משאבים רבים ולתעל אותם לאפיקים יעילים הרבה יותר.
הבעייתיות הגדולה עם עקרון פארטו היא שהוא לא כלל מתמטי, הוא לא נובע מאיזה שהוא הגיון צרוף או מחקר מעמיק בתחום שעליו הוא מיושם, הוא למעשה סוג של כלל אצבע שבמקרים רבים ייתכן בהחלט כי איננו מדויק כלל. לדוגמא, נניח כי אנו באים לנתח דרישות למערכת מידע כלשהי אשר אמורה לאפשר ללקוחות מהאינטרנט לבצע הזמנות של מוצרים באופן נוח וידידותי על ידי ממשק משתמש חדשני (למשל באמצעות דיבור) והמערכת אחראית לבצע את תהליך הרכישה בפועל. במערכת כזו למשל, אנשי השיווק יאמרו כי ממשק המשתמש החדשני והייחודי יביא לארגון לקוחות רבים ולכן הוא חלק מה-20% מהדרישות אשר מסוגל להביא לארגון 80% מהתועלות הצפויות מהמערכת ואילו יחידות אחרות יטענו בתוקף לכך שאותם 20% נמצאים אצלם, לעומתם אנשי אבטחת המידע יאמרו שזה לגמרי ברור שללא כל קשר לשאר התועלות, אבטחת המידע אמורה להיות ברמה הגבוהה ביותר שכן במידה וימומש אחד מסיכוני אבטחת המידע הארגון כולו עשוי לקרוס.
בנוסף, במקרים של נושאים שהם קריטיים, כמו לדוגמא נושאי אבטחת מידע, חשוב לשקול בזהירות יתרה את השימוש בכללי אצבע דוגמת פארטו, זאת מכיון שהנזקים הנגרמים כתוצאה מניצול של פרצות באבטחת המידע עשויים להיות בלתי ניתנים לשיערוך כתוצאה מהנזק הפוטנציאלי העצום הנגרם למוניטין הארגון, הבעיה עשויה להיות חמורה בהרבה באירגונים פיננסיים דוגמת בנקים וסוכנויות או חברות ביטוח הנתפסים כעוגן יציב שעליו הם יכולים להישען בעת הצורך וברגע שבו מתגלה פירצה באבטחת המידע הנזקים הפסיכולוגיים העקיפים ואלו הנגרמים למוניטין עשויים בהחלט לגמד את הנזקים הישירים שנגרמו בעקבות חשיפת המידע.
ובכן, כולם בוודאי צודקים, לכן, על מנת לקחת החלטה בסגנון פארטו, שבאמת תהיה נכונה לארגון אין דרך אחרת אלא לבצע מחקר מעמיק וגם לאחריו למעשה להבין שכל מה שהשגנו היה לכל היותר ניחוש מושכל של הכיוון שבו יש להשקיע את מירב המאמצים. ובכל מקרה אבטחת מידע חייבת להישאר משהו שמהווה חלק מכל פיתוח שהוא, מרכיב שהתקצוב שלו בכלל לא צריך להיקבע בנפרד – כמו שלא מתקצבים פיתוח של מערכת לפי האלגוריתם המוטמע בה או לפי סוג הלולאות המבוצע בה כך נושא אבטחת המידע צריך להיות חלק אינטגרלי מפיתוח המערכת ולכן התמחור שלו לא צריך להיות נפרד מהתמחור עבור הפיתוח בכללותו.